مختصون يطالبون بخطة وطنية لحماية الأنظمة المعلوماتية في المملكة

دعا مختصون وأكاديميون في التقنية، لوضع خطة وطنية لحماية الأنظمة المعلوماتية في منشآت المملكة الحساسة من الاختراق، محذرين من توظيف غير السعوديين في الوظائف التي تمكنهم من التعرف على معلومات مهمة، قد يستغلونها بشكل سيىء في حال مغادرتهم المملكة. وشهدت المملكة العربية السعودية الأسبوع الماضي، هجمات واختراقات مكثفة على عدد من المواقع الإلكترونية المهمة، كما تعرض موقع وزارة الداخلية لهجمات منسقة ومتزامنة، اختراقات أخرى، استهدفت دولا مختلفة مما تسبب في تعطل الموقع.ولم تكن هذه الهجمات الأولى على المواقع المهمة في المملكة حيث وقع قبل عام هجوم آخر تعرض له موقع شركة أرامكو وتضرر ما يقرب من 30 ألف جهاز كمبيوتر.
المواقع الحكومية
اعتبر وزير الثقافة و الإعلام عبدالعزيز خوجه في تصريح سابق أن «اختراق المواقع الحكومية اعتداء واضح على أمن الدولة وأن نظام الجرائم المعلوماتية يعاقب كل من يخترق المواقع الحكومية والخاصة، وأن مرتكب تلك الجريمة سيكتشف عاجلا أم آجلا. قال المحاضر في قسم دراسات المعلومات في كلية علوم الحاسب والمعلومات في جامعة الإمام محمد بن سعود الإسلاميه عبد الله يحيى المبارك إن «حرب الإنترنت هي مصطلح يشير إلى استخدام أجهزة الكمبيوتر المرتبطة بالشبكة (الانترنت) في مهاجمة الجهات والقطاعات المستهدفة، وهم يدعون أنهم مخترقون»، مشيرا إلى أن «التقدم الهائل في وسائل العلم والتقنية الحديثة يصاحبه كثرة هجمات المخترقين، ولعل آخرها، ما تم شنه من هجوم إلكتروني على مواقع حكومية سعودية من بينها وزارة الداخلية خلال الأيام الماضية.
وكان مصدر مسؤول في المركز الوطني للأمن الإلكتروني، قد كشف الجمعة الماضي أن العديد من المواقع الحكومية الإلكترونية في السعودية تعرضت خلال الأيام الماضية لهجمات إلكترونية منسقه ومتزامنة، ومن بينها موقع بوابة وزارة الداخلية.
الاختراق والتجسس
وأضاف المبارك: «قد يبدو الأمر في الوهلة الأولى أن موضوع الاختراق او التصنت او التجسس عبارة عن مجموعة من الهواة الذين يريدون التباهي واستعراض القدرات ، لكن في الحقيقة انها حرب منظمة لها خطط وأهداف تسعى من وراءها دول النيل من تلك الدولة المستهدفة». والمثال الحي لهذه الحرب ما يحصل الان بين الولايات المتحدة الامريكية والصين حيث نشر الكونغرس تقريراً مفصلا عن إرهاب حرب الانترنت الذي تتبناه جمهورية الصين ضد الولايات المتحدة الامريكية، ممثلة في جيش التحرير الشعبي الصيني للقتال عبر الشبكة، وتهدف هذه الحرب في المقام الاول الحصول على المعلومات المهمة والحساسة كالمعلومات الاستخبارتية والمعلومات العلمية المتقدّمة التي تعتبر من أسرار الدولة كالصناعية والبحوث التقنية المتقدمة، إضافة الى زعزعة الأمن ونشر الخوف والرعب وإخلال نظام الدولة العام».
اختلاف سياسي
وقال أيضا: «تتطور حرب الانترنت بتطور الأوضاع السياسية والمعلومة قد تكون خطا فاصلا في اتخاذ القرار، ومع توفر التقنية الحديثة في مجتمعنا السعودي، أصبح الوصول إلى تلك المعلومات الكترونيا بمعنى انه يمكن الوصول اليها من اي مكان في العالم، وقد تكون تلك المعلومات صيدا ثمينا لبعض الدول التي لديها اختلاف سياسي مع دولتنا رعاها الله، وليس من السهل تحديد نوع وطبيعة هذه الحرب لكن يمكن تصنيفه على انه تهديد، كالتهديد بالتشهير وتلفيق التهم الباطلة لشخصيات سياسية تمثل كيان الدولة، أو التهديد بتفجيرات في مراكز سياسية وحساسة.
وقد يكون الهجوم بهدف شلل حركة الموقع: وهو يشابه مع حصل لوزارة الداخلية، وهو توجيه مئات الآلاف من الطلبات الإلكترونية إلى الموقع أو الخادم، يحدث خلالها ضغط على قدرة الاستقبال مما يؤدي إلى وقف عمل الشبكة. وقد يكون بهدف التدمير: وهو إبطال نقطة الاتصال عن طريق غرس أنواع من برامج الفيروسات التي تقوم آلياً بتدمير أجهزة الكمبيوتر ومراكز المعلومات. وقد يكون بغرض التجسس: يعرف بحرب التجسس المعلوماتي، وهو عبارة عن عدة طرق لاختراق المواقع الالكترونية ومن ثم سرقة بعض المعلومات والتي قد تكون في قائمة الاهمية والخطوره للطرف المتلقي والمسروق منه. ولفت المبارك إلى أن حماية المعلومات تتطلب توفر عناصر أساسية لأمن المعلومات والتي تكتمل في ثلاثة عناصر رئيسية، وبفقدان أحد هذه العناصر نفقد معنى الأمنية المعلوماتية (السرية، التكاملية، والاستمراية)
عناصر أساسية
وأضاف يعتبر «الإنسان» من أكثر المخاطر على أمن المعلومات، لذلك يجب أن تتركز الخطوة الأولى في عملية الحفاظ على أمنية المعلومات هو عمل «سياسة أمنية صارمة» شاملة لأفراد القطاع على نطاق واسع، وأن تحدد هذه السياسة بالتفصيل حقوق الوصول لتلك المعلومات ومسؤوليات الموظفين تجاه حماية تلك المعلومات، والإجراءات التي سوف تتخذ في حالة اختراق تلك المعلومات، كتطبيق قانون الجرائم المعلوماتية. الخطوة الثانية وهي عملية تشفير المعلومات، وتختلف درجة الأمن مع اختلاف أهمية تلك المعلومات، لذلك ينصح دائما بتغير شكل تلك المعلومات المنتقلة عبر الشبكة، وهو ما يسمى ب»تشفير»، وبالتالي لا يمكن لأحد تعديل أو حذف جزء من تلك المعلومات. والخطوة الثالثة وهي الناحية البرمجية، لاشك انه إذا كان هناك نسخة احتياطية من البيانات المهمة لديك، سيكون ذلك عنصرا من عناصر الأمان في استرجاع آخر نسخة موجودة قبل حدوث أي تخريب أو فقدان في البيانات المخزنة.
أمن المعلومات
وقال أمين عام البنوك السعودية الدكتور طلعت حافظ: «يجب التصدي للهجمات الإلكترونيه سواء كانت الأجهزة الحكومية أو القطاع الخاص ويتطلب الأمر أفضل التطبيقات المتعارف عليها في مجال أنظمة حماية المعلومات والالتزام بهذه المعايير وأن يكون هناك وعي لكافة العاملين في تلك الأجهزة لأهمية أمن المعلومات وسبل التعامل معها. وأضاف حافظ: «كما يجب أن يكون هناك على المستوى العام خطة إستراتيجية وطنية للتعامل مع هذه الأمور، وأن يكون أيضا هناك مركز على مستوى الوطن للتعامل مع أي اختراقات محتملة للمواقع، بحيث يقوم هذا المركز برسم الإستراتيجيات ووضع الخطط للتعامل بحرفية مع هذه الاختراقات».
بطاقات الدفع
وأشار حافظ إلى ضرورة وجود التوعية طوال العام لكافة الأجهزة الحكومية وأجهزة القطاع الخاص من شركات ومؤسسات وأن يتم توفير المعلومات بشكل آن ومحدد»، مضيفا»لعلي أضرب مثلا بالبنوك السعودية إذ أن القطاع المصرفي في المملكة العربية السعودية يطبق أعلى المعايير المتعارف عليها دوليا في مجال أمن المعلومات وعلى سبيل المثال على ما يعرف ببطاقات الدفع، فهو يطبق بالتزام تام ما يعرف بأمن صناعة بطاقات الدفع، وهذا المعيار الذي تصدر بخصوصه شهادة من مجلس عالمي معروف ومحايد وجميع البنوك السعودية لديها هذا التميز كما أنها تستثمر في كل عام أموالا طائلة لكي تتأكد من أن أجهزتها وأنطمتها المعلوماتية، سواء الشركات التي لها علاقة بأنظمتها الداخلية أو التي ليس لها علاقة بحسابات العملاء لأنها بإذن الله في مأمن ومحصنة لإحتمالية وقوع اختراقات محتملة، ليس ذلك فحسب ولكنها أيضا تقوم بإجراء اختبارات للجودة للتأكد من أنظمتها المختلفة لتتأكد من جاهزيتها للتعامل مع هذه الهجمات المحتملة».
مستوى واحد
وقال حافظ :إن «البنوك تطبق العديد من مستويات الحماية وليس بمستوى واحد ودرجات مختلفة بمعنى أن الدرجات تتصاعد في مستوى الحماية كلما اقتربت قبل المعلومات التنفيذية لأنظمة البنوك وعملائها كما أنها تستخدم وتطبق البرامج المتطورة لمكافحة الفيروسات والجراثيم المعلوماتية بكافة أنواعها». وأضاف «البنوك السعودية جميعها من تعاملاتها إصدار البطاقات ذات الشرائح الذكية وذلك لاستخدام بطاقات الصراف الآلي والبطاقات الائتمانية وتصعد قدر الإمكان الحماية لعدم إمكانية اختراقها والوصول إلى المعلومات المتوافرة فيها». ولفت إلى أنه يجب التذكير بموضوع الأمن والأمان لعملاء البنوك من الشبكة العنكبوتية، خصوصا أن التعامل يكون عن طريقها، كما لابد من أن يكون هناك تواصل دائم بين البنوك وعملائها بالعمليات التي تمت، وفي حالة وجود شك في عملية تمت على حساب العميل، سيبادر بالإتصال على البنك وإبلاغهم أن هذه العملية لم تتم، وسيقوم البنك بمعالجة المشكلة».
مركز للطوارئ
وقال حافظ: «لحماية الأنطمة المعلوماتية في المملكة العربية السعودية سواء كان ذلك على مستوى الأجهزة الحكومية أو القطاع الخاص، لابد أن يكون هناك خطة وطنية على مستوى الدولة ويكون هناك توضيح للإجراءات في التعامل مع هذا الأمر، وأيضا يكون هناك تساو في الجهود من الأجهزة المختلفة، بحيث يمكننا سد جميع الثغرات الأمنية المعلوماتية». وأضاف: «إقامة مركز للطوارئ للتعامل مع الكوارث المعلوماتية ويكون من دوره التوعية والإرشاد والتوجيه والتعامل بطريقة علمية لتوفير المعلومات والمستجدات عن هذا الأمر».
الشهري: الجهات الحكومية مطالبة بحماية معلوماتها.. وعقوبات بحق المخترقين
من جهته قال وكيل مركز الدراسات والبحوث في جامعة نايف للعلوم الأمنيه الدكتور حسن الشهري: «هناك أنظمه معلومات لكل دائرة أو وزارة تحمي معلوماتها ويجب أن تكون هذه الأنظمه محدثة وذات حماية عاليه، وأضاف الشهري: «هناك أنطمة تخص المعلومات تشترى لمكافحه الهجمات الإلكترونية، لذا يجب على جميع الجهات الحكوميه والجهات الخاصه شراؤها لحماية معلوماتها».
وعمن يدبرون الهجمات الإلكترونيه لإختراق المواقع قال الشهري : «يجب ملاحقتهم والقبض عليهم إذ أصبح من السهل معرفة من أين أتى الفيروس أو من أين أتى هذا القرصان ،ومن أين اخترق النظام»، لافتا إلى أنه «تم سن قانون مكافحة الجرائم المعلوماتية يتضمن عقوبات صارمة جدا لأي جريمه تصنف من الجرائم الإلكترونية، كإختراق برامج البنوك أو المؤسسات المالية أو الجامعات وغيرها».
مواجهة الاحتراق
وتابع الشهري «لمكافحة الهجمات الإلكترونية يجب علينا حماية أنظمتنا بالدرجة الأولى للاستعداد لمواجهة أي اختراق قد يحدث، وذلك بإقتناء الأنظمة الحديثة المطورة والموثوق بها». وأضاف: «مع هذه الإستعدادات والتجهيزات، قد يحدث إختراق وإن حدث ذلك، فلدينا في المملكة العربية السعودية من الأنظمة ما يحمينا من القرصان نفسه ومعرفة مكانه ثم تقديمه للعدالة.
وأشار الشهري إلى أن «من يخترق المواقع في المملكه العربيه السعوديه ليس بكل الأحوال أن يكون من خارج الدولة، ولكن قد يكون بيننا من جنسية غير سعودية ويعمل لصالح جهات خارجية، لذا يجب علينا أخذ الحذر والإحتياط». وأضاف: « يجب على المنظمات والشركات السعودية أخذ الحذر ممن يعمل لديهم من غير السعوديين ،والذين قد عرفوا جميع المعلومات في هذه المواقع وعند مغادرتهم إلى بلدانهم يستطيع من لديه نوايا غير حسنة الدخول والهجوم على المواقع لمعرفته السابقة بالأرقام والمعلومات».
وذكر الشهري أن كل وزارة وكل منظمة تستطيع أن تحمي نفسها وذلك بشراء الأنظمة عالية الحماية, وأضاف: «كما أن لدينا في المملكة البنوك والتي تتعامل ببرنامج الكيبورد الإفتراضي ،بحيث يتيح للعميل الدخول على الموقع واستخدام الكيبورد الإفتراضي، بحيث لا يتيح للقرصان أو المخترق ويصعب جدا عليه معرفة المعلومات السرية».
وعن إختراقات البنوك التي حدثت قال: «هذه الإختراقات التي حدث في الغالب يكون إختراقها من الداخل بسب جلب موظفين من خارج الدولة، وعندما تنتهي مدة العقد مع البنك، قد يتسببون في اختراق المواقع والوصول إلى المعلومات، لذا على البنوك وجميع الدوائر المهمة تغيير الأرقام والبرامج لمنع أي شخص من الوصول إلى المعلومات»، وأوصى الشهري الشركات والأجهزة ب«ألّا يضعوا على الأماكن الحساسة إلا مواطنا سعوديا».